Chính phủ Việt Nam đang tăng tốc xây dựng mô hình nhà nước số với tham vọng hiện đại hóa quản trị, nâng cao hiệu quả cung ứng dịch vụ công và thúc đẩy kinh tế số. Thế nhưng, nghịch lý là khi dữ liệu ngày càng tập trung, thì quyền kiểm soát của người dân đối với dữ liệu của mình lại ngày càng mờ nhạt.
Nếu dữ liệu cá nhân vẫn được xem là tài nguyên quản lý hơn là một quyền cơ bản, nhà nước số có thể đạt được hiệu quả ngắn hạn, nhưng niềm tin xã hội và năng lực cạnh tranh quốc gia trong dài hạn sẽ tổn hại.
Dữ liệu cá nhân ngày càng bị tổn thương
Người dân Việt Nam đang sống trong một môi trường số hóa dày đặc. Việc sử dụng căn cước công dân gắn chip, định danh điện tử, ứng dụng dịch vụ công, thanh toán không tiền mặt hay hồ sơ y tế điện tử đang dần trở thành một phần của đời sống thường nhật.
Thế nhưng, thực tế là dữ liệu cá nhân đã và đang bị rò rỉ, bị mua bán, bị khai thác trái phép với quy mô lớn và gần như không ai là người phải chịu trách nhiệm.
Việt Nam liên tục nằm trong nhóm các quốc gia có lượng dữ liệu cá nhân bị rao bán nhiều nhất. Theo Công ty An ninh mạng Viettel – thành viên Tập đoàn Công nghiệp – Viễn thông Quân đội (Viettel), vào năm 2024, vấn đề rò rỉ dữ liệu ở Việt Nam tăng mạnh, khi có tới 14,5 triệu tài khoản bị rò rỉ, chiếm 12% số lượng trên toàn cầu. [1]
Nhiều vụ rò rỉ dữ liệu quy mô lớn liên quan đến thông tin khách hàng của các công ty tài chính, bất động sản, công nghệ giáo dục đã được ghi nhận, bao gồm số điện thoại, địa chỉ, thông tin định danh và thậm chí dữ liệu tài chính cơ bản. [2]
Tuy nhiên, phần lớn các vụ việc này kết thúc trong im lặng, không có thông tin rõ ràng về trách nhiệm pháp lý, biện pháp khắc phục hay bồi thường cho người bị ảnh hưởng.
Số hóa nhanh, nhưng nền tảng pháp lý thiếu cân bằng
Để bảo vệ người dân và tăng cường an ninh quốc gia, Chính phủ Việt Nam đã đi những bước dài trong việc xây dựng khung pháp lý cho không gian số.
Luật An ninh mạng năm 2018 [3] và Nghị định số 53/2022/NĐ-CP của Chính phủ [4] hướng dẫn Luật An ninh mạng đã đặt nền móng cho việc quản lý dữ liệu trong bối cảnh an ninh phi truyền thống gia tăng.
Đến năm 2023, Nghị định 13/2023/NĐ-CP [5] về bảo vệ dữ liệu cá nhân lần đầu tiên chính thức ghi nhận khái niệm dữ liệu cá nhân, dữ liệu nhạy cảm, và quyền cơ bản của chủ thể dữ liệu.
Tháng Mười Một, Thủ tướng Chính phủ Phạm Minh Chính đã ký Quyết định số 2623/QĐ-TTg ngày 29/11/2025 [6] ban hành Kế hoạch triển khai thi hành Luật Bảo vệ dữ liệu cá nhân. Trong những năm tiếp theo, nhà nước sẽ “tổ chức tuyên truyền, phổ biến, giáo dục pháp luật về bảo vệ dữ liệu cá nhân”. Bộ Công an sẽ là đơn vị đi đầu trong công tác này. [7]
Tuy nhiên, vấn đề là ở cách các luật và nghị định này được thiết kế và vận hành cùng nhau. Trong thực tiễn, các quy định về an ninh mạng và bảo vệ dữ liệu cá nhân không tồn tại trong mối quan hệ cân bằng, mà thường vận hành theo logic “an ninh ưu tiên”.
Nghị định 13, dù có tiến bộ về mặt khái niệm, vẫn đặt trách nhiệm nặng nề lên doanh nghiệp và tổ chức xử lý dữ liệu, trong khi cơ chế kiểm soát quyền lực nhà nước đối với dữ liệu lại tương đối mờ nhạt.
Quyền của chủ thể dữ liệu, như quyền phản đối xử lý, quyền yêu cầu xóa dữ liệu, hay quyền khởi kiện, rất khó thực thi do thiếu hướng dẫn cụ thể và tiền lệ pháp lý. Điều này tạo ra một nghịch lý là người dân theo tuyên bố sẽ là đối tượng được “bảo vệ”, nhưng lại là bên chịu thiệt thòi nhất khi xảy ra vi phạm.
Quyền lực nhà nước ngày càng mở rộng
Lý lẽ phổ biến để biện minh cho việc siết chặt quản lý dữ liệu là mục tiêu bảo vệ an ninh quốc gia. Trong bối cảnh tội phạm mạng, gián điệp số và can thiệp thông tin gia tăng, yêu cầu này là có cơ sở. Tuy nhiên, điều đáng lo ngại là khái niệm an ninh trong quản trị dữ liệu ở Việt Nam thường được mở rộng nhưng không có giới hạn rõ ràng.
Nghị định số 53 năm 2022 cho phép cơ quan chức năng yêu cầu doanh nghiệp cung cấp dữ liệu người dùng khi phục vụ điều tra, xử lý vi phạm an ninh mạng, nhưng lại không quy định rõ ràng về tiêu chí, phạm vi và cơ chế giám sát độc lập đối với các yêu cầu này.
Trong một hệ thống thiếu cơ chế đối trọng, quyền tiếp cận dữ liệu dễ trở thành công cụ hành chính hơn là biện pháp an ninh có kiểm soát.
Tại Liên minh châu Âu (EU), ngay cả trong các trường hợp liên quan đến an ninh quốc gia, việc tiếp cận dữ liệu cá nhân vẫn chịu sự giám sát chặt chẽ của tòa án và các cơ quan bảo vệ dữ liệu độc lập theo Quy định chung về bảo vệ dữ liệu (GDPR). [8] Điều này không làm suy yếu an ninh, mà trái lại, giúp tăng tính chính danh của các biện pháp an ninh trong mắt công chúng.
Khía cạnh tích cực này hoàn toàn vắng bóng tại Việt Nam. Quốc gia do Đảng Cộng sản lãnh đạo hiện chưa có một cơ chế tương đương, và điều đó khiến quyền lực của nhà nước trong việc can thiệp vào dữ liệu cá nhân gần như là tuyệt đối.
Nhà nước đang “đi quá xa”
Thực tế, bản chất của cam kết dịch vụ giữa nhà nước và công dân là: “Nhà nước tương tác với công dân và pháp nhân nhằm cung cấp dịch vụ công”. [9] Khi đó, “Nhà nước số” không chỉ được đo bằng số lượng dịch vụ công trực tuyến hay cơ sở dữ liệu liên thông, mà còn bằng mức độ an tâm của người dân khi trao dữ liệu cá nhân cho hệ thống.
Niềm tin ấy không thể được xây dựng chỉ bằng khẩu hiệu hay các cam kết chung chung, mà phải dựa trên cơ chế pháp lý rõ ràng, minh bạch và có khả năng thực thi.
Nếu dữ liệu cá nhân tiếp tục được coi là tài nguyên để nhà nước quản lý thay vì thuộc về “quyền công dân”, chính quyền Việt Nam có thể đạt được hiệu quả ngắn hạn trong kiểm soát các nguy cơ an ninh, nhưng sẽ phải đối mặt với chi phí dài hạn về niềm tin của xã hội và sức cạnh tranh của nền kinh tế.
Khi dữ liệu bị lạm dụng hoặc rò rỉ mà không có cơ chế khắc phục rõ ràng, người dân sẽ tìm cách né tránh, cung cấp thông tin không đầy đủ, hoặc sử dụng các kênh phi chính thức. Điều này cuối cùng làm suy yếu chính năng lực quản trị mà nhà nước muốn tăng cường.
Tuy nhiên, với nhà nước Việt Nam, chưa bao giờ quyền lợi và an toàn dữ liệu của người dân được đặt vào tay chính họ. Nhà nước, mà trong đó Bộ công an là cánh tay nắm quyền sinh sát chính là bên kiểm soát. Nếu tình thế cứ tiếp diễn, “tương lai số” của đất nước trong kỷ nguyên dữ liệu có vẻ như không mấy tươi sáng.
Đọc thêm:
Chú thích
- Thiện, Đ. (2025, April 1). Thông tin cá nhân, tài liệu doanh nghiệp Việt bị rao bán rộng rãi trên mạng. Tuổi Trẻ. https://tuoitre.vn/thong-tin-ca-nhan-tai-lieu-doanh-nghiep-viet-bi-rao-ban-rong-rai-tren-mang-2025040121130404.htm
- VOV. (2025, April 3). Hơn 14 triệu tài khoản tại Việt Nam bị rò rỉ dữ liệu. https://vtv.vn/cong-nghe/hon-14-trieu-tai-khoan-tai-viet-nam-bi-ro-ri-du-lieu-20250403131635077.htm
- Luật An ninh mạng năm 2018 . (2018, June 12). Thư viện Pháp luật. https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-ninh-mang-2018-351416.aspx
- Nghị định số 53/2022/NĐ-CP của Chính phủ. (2022, August 15). Thư viện pháp luật. https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-53-2022-ND-CP-huong-dan-Luat-An-ninh-mang-398695.aspx
- Nghị định 13/2023/NĐ-CP . (2023, April 17). Thư viện pháp luật. https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Nghi-dinh-13-2023-ND-CP-bao-ve-du-lieu-ca-nhan-465185.aspx
- Quyết định số 2623/QĐ-TTg. (2025, November 29). Thư viện pháp luật. https://thuvienphapluat.vn/van-ban/Bo-may-hanh-chinh/Quyet-dinh-2623-QD-TTg-2025-trien-khai-thi-hanh-Luat-Bao-ve-du-lieu-ca-nhan-682619.aspx
- Minh Hiển. (2025, November 29). Kế hoạch triển khai thi hành Luật Bảo vệ dữ liệu cá nhân. https://baochinhphu.vn/ke-hoach-trien-khai-thi-hanh-luat-bao-ve-du-lieu-ca-nhan-102251129131617617.htm
- Europa. (n.d.). Data protection under GDPR. https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_en.htm
- Hậu, N. V. (2025, June 26). Cơ sở pháp lý về nhà nước số ở một số quốc gia trên thế giới. Tạp chí Quản lý nhà nước. https://www.quanlynhanuoc.vn/2025/06/26/co-so-phap-ly-ve-nha-nuoc-so-o-mot-so-quoc-gia-tren-the-gioi/
